【发布时间】:2020-11-09 22:13:42
【问题描述】:
我正在制作 SPA,并决定使用 JWT 进行身份验证/授权,并且我阅读了一些关于 Tokens vs Cookies 的博客。我了解 cookie 授权的工作原理,并了解基本令牌授权的工作原理。问题是,我看不出刷新令牌如何适应它,在我看来它降低了安全性。让我解释一下,正如我所看到的:
Cookie 方法
当您通过用户名和密码验证用户身份时,您会创建与该用户关联的会话 ID。并将其设置为 cookie,每次客户端调用您的服务器时,它都会发送该 cookie,服务器可以在数据库或其他服务器端存储中查找关联的用户。
-
这种方法容易受到CSRF(跨站请求伪造)的攻击,为了防止CSRF你可以使用cookie和token
-
服务器还需要不断查找存储以查看 cookie 指向的用户。
代币方式
当您通过用户名和密码对用户进行身份验证时,您会创建一个签名令牌,其中包含到期日期、电子邮件地址或用户 ID、角色等。对于安全令牌应该有很短的到期时间。令牌可以存储在任何地方本地存储、会话存储、cookies。我将使用本地存储或会话存储来防止 XSRF。
- 这容易受到 XSS(跨站脚本)的攻击,但您可以通过验证 HTML 输入来防止这种情况发生。
- 由于令牌的生命周期较短,令牌过期后用户必须重新登录。
访问令牌和刷新令牌
所以我想使用刷新令牌来防止用户需要不断登录。所以让我们说认证,我给用户访问令牌和刷新令牌,当用户访问令牌过期时,用户可以使用刷新令牌来获取新的访问令牌,这是我没有得到的。
- 假设我将访问令牌存储在本地存储中。如果我还将刷新令牌存储在本地存储中,我认为它没有任何用处。因为如果攻击者可以访问本地存储并获得访问令牌,他也可以获得刷新令牌。那么在这种情况下,为什么不让 Access 令牌长期存在呢。
- 如果将 Refresh 令牌存储为 cookie,它很容易受到 XSRF 的攻击,然后攻击者可以获得新的访问令牌,并使用它。同样在这一点上,为什么不直接使用 Cookie 授权?因为您已经必须在本地存储中查找刷新令牌,尽管这种情况发生的频率低于纯 cookie 授权。
最佳做法是什么?
目前我正在考虑使用:
- 访问令牌(本地存储,短期)
- 刷新令牌(Cookie,长寿命)
- 刷新令牌的令牌(为了防止 XSFR,本地存储,一次使用后过期)
假设它看起来像这样:
+--------+ +---------------+
| |------------ Authorization Grant --------->| |
| | | |
| |<--------------- Access Token -------------| |
| | & Refresh Token (cookie) | |
| | & XSRF Token | |
| | | |
| | | |
| |--------- Access Token ------------------->| |
| | | |
| |<----- Protected Resource -----------------| |
| Client | | Server |
| |--------- Access Token ------------------->| |
| | | |
| |<----- Invalid Token Error ----------------| |
| | | |
| | | |
| |---------------- Refresh Token ----------->| |
| | & XSRF Token | |
| | | |
| |<--------------- Access Token -------------| |
| | & XSRF Token | |
+--------+ & Optional Refresh Token +---------------+
每次使用 Refresh 令牌时,服务器都会发出新的 XSRF 令牌(使用一个 XSRF 令牌后,它会停止工作,服务器会发出新的令牌)。 你对这个实现有什么看法?在我看来,这限制了服务器对数据库的查找,因为它使用访问令牌,访问令牌是短暂的,并且用户不必经常登录,因为它使用刷新令牌/cookie 女巫受 XSRF 令牌保护。
这样可以吗?
谢谢!
【问题讨论】:
标签: security cookies authorization token